Ohne Online geht’s nicht mehr: Ob privat oder beruflich – die digitale Transformation hat schon längst nahezu alle Lebensbereiche erreicht und zu zahlreichen positiven und grundlegenden Veränderungen geführt. Doch wo viel Licht ist, ist auch Schatten und besonders dunkel wird es beim Thema Internet-Kriminalität. Der unendliche Datenwust bietet Cyberkriminellen den optimalen Nährboden zum Datenmissbrauch – und im Fall von Doxing braucht es dafür nicht einmal Programmiergeschick.

Beim Doxing werden personenbezogene Daten aus verschiedenen Online-Quellen durch sogenannte Doxer:innen gesammelt und anschließend ohne Erlaubnis der Betroffenen im Internet veröffentlicht. Der Begriff leitet sich vom englischen „Dropping Dox“ ab – „Dox“ steht dabei für die umgangssprachliche Variante des Begriffs „Docs“ (Deutsch: „Dokumente“). Hinter der Cyberattacke stecken in den meisten Fällen böswillige Absichten wie die öffentliche Demütigung oder Identifizierung der betroffenen Person.

Gedoxte Informationen könnten zum Beispiel sein:

• Privatadresse und private Kontaktdaten
• Informationen über den Arbeitsplatz
• Sozialversicherungsnummern
• Finanzinformationen
• Gesundheitsinformationen
• private Bilder und Korrespondenzen
• weitere personenbezogene Daten sowie polizeiliche Informationen

Ursprünglich stammt Doxing aus der Cybercrime-Szene: In den 90er-Jahren nutzten rivalisierende Hacker:innen die Methode, um die Anonymität der Konkurrenz zu gefährden. In einer Welt von Social Media und umfassender Vernetzung muss allerdings niemand mehr zum:zur waschechten Hacker:in werden: Viele Daten liegen oft bereits wie auf dem Präsentierteller in Nutzer:innen-Profilen verschiedener sozialer Netzwerke oder in einsehbaren Datenbanken. IT- oder Programmierkenntnisse braucht es für einen Doxing-Schlag in vielen Fällen nicht.

Die Welt wird immer digitaler. In Zeiten von Big Data und sozialen Netzwerken wächst die Zahl krimineller Möglichkeiten und potenzieller Doxing-Quellen stetig – viele der Angriffe geschehen ausschließlich auf Grundlage frei zugänglicher Informationen.

• Social Media: In den sozialen Netzwerken teilen User:innen bereitwillig Fotos und persönliche Informationen mit ihren Follower:innen, die Daten sind oft uneingeschränkt einsehbar. Per Cyberstalking lassen sich hier zahlreiche Informationen zusammentragen.
• Blogs und Websites: Wer glaubt, der liebevoll geführte Backblog oder das Online-Portfolio seien für Angriffe uninteressant, täuscht sich. Denn auch hier, zum Beispiel im Impressum oder der Kurzbiografie, finden Doxer:innen nützliche Daten.
• Social Engineering: Oftmals reicht es aus, schlichtweg die menschliche Gutgläubigkeit auszunutzen, um an sensible Daten zu gelangen – beispielsweise in Form von Phishing.
• Datenbanken und Cloud-Speicher: Besonders motivierte Doxer:innen könnten auch im Darknet fündig werden und hier Daten und Informationen aus gehackten Speichern kaufen – oder diese mit dem nötigen Fachwissen direkt selbst anzapfen.

Die auf diese Weise gesammelten Informationen werden im zweiten Schritt vor einem möglichst breiten Publikum veröffentlicht. Hier erweisen sich soziale Netzwerke oft als das Tool der Wahl: Über gefälschte Konten können Angreifer:innen die Daten für einen möglichst großen Personenkreis einsehbar und auch teilbar machen – im schlimmsten Fall geht der Leak viral und zieht womöglich sogar Folge-Angriffe oder öffentliche Drohungen als Reaktionen nach sich.

Tatsächlich geht es Doxer:innen in vielen Fällen nicht, wie man vielleicht erwarten würde, um Geld. Die Angriffe sind stattdessen meist viel persönlicher: Oft sind die Motive Rache oder Selbstjustiz, etwa infolge einer Kränkung oder eines privaten oder beruflichen Konflikts. Auch gezieltes Cybermobbing oder die öffentliche Bloßstellung von Meinungsgegner:innen können das Ziel eines Doxing-Angriffs sein. Daher sind besonders häufig Politiker:innen, Journalist:innen, Aktivist:innen oder prominente Personen von Doxing-Angriffen betroffen.

Die Informationen, die Täter:innen durch Doxing abgreifen können, sind meist gar nicht mal so explosiv – schließlich stammt vieles ohnehin aus bereits öffentlich zugänglichen Quellen. Dennoch kann eine Doxing-Attacke für große Unsicherheit und Druck bei den Opfern sorgen – oft auch bedingt durch den Kontext, in dem die Informationen veröffentlicht werden.

Da Betroffene weder die Beweggründe noch die Handlungsbereitschaft der Doxer:in kennen, geschweige denn das volle Ausmaß der gesammelten Informationen, wird Doxing nicht selten zur psychischen Belastung. Zudem besteht die Gefahr, dass andere durch den Leak zu weiteren Taten motiviert werden und sogar zu härteren Mitteln wie Drohbriefen, Swatting, Gewaltakten oder noch schwerwiegenderen Hacking-Attacken greifen.

Aber gibt es auch gute Gründe für Doxing? Tatsächlich kann Doxing auch als Mittel der Informationsbeschaffung zur Aufklärung und Berichterstattung dienen – und ist damit Teil der täglichen Arbeit vieler Redaktionen. Gut recherchiert, im richtigen Kontext und zur richtigen Zeit, lässt sich durch Doxing auch der ein oder andere Skandal aufdecken – ja, wir schielen zu dir, Fynn Kliemann. Die im Mai 2022 von „Neo Magazin Royale“ enthüllte Masken-Affäre rund um den Kliemannsland-Gründer und Youtube-Influencer ist ein Paradebeispiel für den Investigativjournalismus – hinter dem, streng genommen, Doxing steht.

Hier seht ihr die ganze Enthüllung:

Erinnert ihr euch noch an Gamergate? Angefangen als Rachefeldzug eines in seinem Ego gekränkten Ex-Freundes entwickelte sich 2014 aus dessen Vergeltungsposting auf Reddit und 4Chan in nur kurzer Zeit eine Online-Beläsitigungskampagne, deren Nachhall noch heute im Internet spürbar ist, wie die New York Times berichtet. Die „Bewegung“ richtete sich vor allem gegen weiblich gelesene Personen der Videospielszene und driftete zum Teil auch in rechtspopulistische Extreme. Massives Doxing galt als Hauptwerkzeug von Gamergate: Angreifer:innen veröffentlichten über besagte Plattformen zahlreiche persönliche Informationen über die Opfer, die aufgrund der darauf folgenden Anfeindungen und aus Angst vor tätlichen Übergriffen teilweise sogar ihre Wohnsitze aufgaben.

Für virale Doxing-Angriffe ist außerdem das Hackerkollektiv Anonymous bekannt – im positiven wie im negativen Sinne. Nach dem Tod des Schwarzen US-Amerikaners Michael Brown und im Zuge der Proteste in Ferguson veröffentlichte die Gruppe beispielsweise personenbezogene Daten von mutmaßlichen Mitgliedern des Ku-Klux-Klans. Und auch im Russland-Ukraine-Krieg ist das Kollektiv aktiv und hackte unter anderem einige russische Sender und Streamingdienste.

In Deutschland sorgte Doxing im Dezember 2018 für Furore, als ein Twitter-Nutzer Daten einiger führender Politiker:innen, Journalist:innen, Moderator:innen, Youtuber:innen, Musiker:innen und Schauspieler:innen veröffentlichte. Neben vielen eher harmlosen Informationen steckten zwischen den Leaks auch einige sensiblere Daten wie Privatadressen oder Bankdaten.

Seit dem 22. September 2021 ist das böswillige Sammeln und unbefugte Verbreiten personenbezogener Daten strafbar, wie die Polizeiliche Kriminalprävention der Länder und des Bundes (ProPK) berichtet. Nach § 126a StGb werden Doxing-Vergehen zukünftig mit Geldstrafen sowie Freiheitsstrafen von bis zu zwei Jahren geahndet.

Doxing ist ein internetbasierter Angriff auf die eigene Privatsphäre. Daher empfiehlt sich auch in diesem Fall, wie mit so vielen Dingen im Netz: Vorsicht ist besser als Nachsicht. Wer sich und seine Daten schützen möchte, teilt eigene Informationen mit Bedacht. In der Vergangenheit haben wir bereits die wichtigsten Ressourcen zusammengetragen, wie ihr sicher durchs Internet kommt. Gänzlich vermeiden lässt sich der digitale Fußabdruck natürlich kaum, denn jegliche Aktivität hinterlässt Spuren im Internet. Vor allem User:innen, die sich aktiv beteiligen, beispielsweise in politischen Diskussionen oder Blogeinträgen, oder Personen des öffentlichen Lebens laufen besonders Gefahr, ins Doxing-Fadenkreuz zu geraten.

Dennoch lassen sich einige Vorkehrungen treffen, um den eigenen Daten den bestmöglichen Schutz zu liefern. Sensible Daten wie die Sozialversicherungsnummer oder Bank- oder Kontodaten sollten grundsätzlich ohnehin niemals öffentlich geteilt werden.

Mit diesen Maßnahmen könnt ihr euch und eure Daten vor Doxing schützen:

• Ein sicheres Passwort gehört zu den Basics der Sicherheit im Internet. Es enthält sowohl Klein- als auch Großbuchstaben, Zahlen und Sonderzeichen – und das idealerweise in willkürlicher Reihenfolge. Zudem sollte jedes Konto durch ein eigenes, individuelles Passwort geschützt werden. Den Überblick erleichtern Passwortmanager. Noch mehr Sicherheit bietet zudem die Multi-Faktor-Authentifizierung. Sie schützt das Konto gleich durch zwei oder mehrere Identitätsmerkmale.
• Getrennte E-Mail-Konten: Privates von Beruflichem zu trennen, erweist sich auch in Sachen Cybersecurity als guter Schachzug. Indem ihr ein Konto ganz für den privaten Austausch und eines für rein berufliche Zwecke reserviert, mindert ihr das Doxing-Risiko bereits erheblich. Eine zusätzliche Spam-Adresse ist ebenfalls empfehlenswert. Wichtig: Möglichst wenige der Adressen öffentlich machen und Namen wählen, die eure Anonymität nicht gefährden.
• Unterschiedliche Benutzer:innen-Namen für jedes Online-Konto erschweren es Doxer:innen, Aktivitäten und Beiträge auf gleich mehreren Plattformen mit nur einem bekannten Benutzernamen abzufangen.
• Datenschutzeinstellungen in Social Media: Soll ein Account vor allem privat genutzt werden, empfiehlt es sich, die entsprechenden Privatsphäre-Einstellungen streng zu handhaben. Für berufliche Zwecke können einige der Punkte auch auf öffentlich gestellt werden. Ihr seid auf einer Plattform nicht mehr aktiv? Löscht ungenutzte Profile, um dort veröffentlichte und geteilte Informationen zu verbergen.
• In Cybersecurity investieren: Mit aktueller Antiviren- und Malware-Software lassen sich mögliche Sicherheitslücken rechtzeitig schließen und Hacker:innen wie Doxer:innen wird der Zugang erschwert.
• Phishing-Mails: Ist das wirklich die Bank, die da nach meinen Daten fragt? Vertrauen ist zwar gut, Kontrolle meist besser – und im Fall von Phishing-Mails ist stumpfes Ignorieren und Löschen am allerbesten.
• Domain vor WHOIS verbergen: Über WHOIS werden alle Domain-Namen im Netz registriert – und dadurch einsehbar. Um hier anonym zu bleiben, hilft es nur, sich an die Registrierungsstelle der eigenen Domain zu wenden.
• Bitte einmal löschen! Als Privatperson könnt ihr über ein Online-Formular die Löschung personenbezogener Informationen aus den Google-Eintragungen beantragen. Alternativ lassen sich auch Daten-Broker und Dienstleister wie Reputation Defender für die Löschung von Daten aus Datenbanken beauftragen.
• Online-Quiz und App-Genehmigungen: Manch verlockendes Internet-Quiz dient allein dazu, eure Daten abzugreifen und Informationen über euch zu erhalten. Ist die Quelle des Quiz nicht bekannt, lasst besser die Finger davon. Gleiches gilt für Apps mit absurden Zugriffsanforderungen. Braucht die gerade geladene App tatsächlich all meine Kontakte und meinen genauen Standort? Sucht im Zweifel lieber noch mal nach einer Alternative im App-Store.
• Google-Benachrichtigungen: Über diese Funktion werdet ihr benachrichtigt, sobald Informationen über euch im Internet veröffentlicht werden (sofern ihr Google mitgeteilt habt, bei welchen Daten ihr unbedingt informiert werden möchtet).